Derzeit erforscht De Luca, ob es möglich ist, einen biometrischen Faktor in die PIN-Abfrage einzubeziehen, beispielsweise die Geschwindigkeit der Eingabe. Selbst wenn ein Hacker also das richtige Muster kennen sollte, könnte er mit diesem allein das Telefon nicht entsperren. Während viele Probanden den biometrischen Faktor überhaupt nicht bemerkten, da sie nie abgewiesen wurden, seien die Übrigen im Falle eines Fehlversuchs recht geduldig gewesen, berichtet De Luca. Lediglich in der Straßenbahn habe das System Schwächen gezeigt: Das Gerüttel veränderte die Eingabegeschwindigkeit so sehr, dass der Nutzer nicht akzeptiert wurde.
Dennoch hat sich De Luca der Biometrie bewusst nur am Rande bedient. Denn wenn auch die Identifizierung über Fingerabdrücke oder die Augeniris als relativ sicher gilt, sind Menschen ihr gegenüber skeptisch. „Diese Daten gelten als sehr persönlich“, sagt De Luca, „man will sie nicht der Bank überlassen.“ Zudem können auch Fingerabdrücke kopiert werden und viele Gesichtsscanner fallen auf Fotos herein.
Noch ist offen, ob und wann die universitären Entwicklungen aus Stuttgart und München auf den Markt kommen. Ihre Entwickler sind aber optimistisch. „Das Log-in per Displaymuster wird seit fünf Jahren verwendet“, vergleicht De Luca, „die erste wissenschaftliche Arbeit dazu ist von 1999.“ Fünf bis zehn Jahre könnten also schon ins Land gehen.
„Gegen den Ex-Freundinnen-Faktor ist das System nicht sicher“
Ein Projekt mit ähnlichen Ansätzen ist bereits verfügbar: Die Software Psylock, die an der Universität Regensburg entwickelt wurde, erkennt den Nutzer daran, wie er einen Satz am Computer abtippt. Aber was ist, wenn sich jemand den Finger verstaucht oder die Hand gebrochen hat? „Man braucht ein Hintertürchen, beispielsweise eine PUK“, sagt De Luca, also ein Passwort, mit dem sich ein Handy nach drei fehlgeschlagenen Log-in-Versuchen wieder entsperren lässt. Die PUK ist allerdings nur so gut wie ihr Versteck. „Gegen den Ex-Freundinnen-Faktor ist das System nicht sicher“, räumt De Luca ein. Die Ex-Freundin steht hier für Personen, die Geheimnisse eines Nutzers kennen und diesem eventuell nicht wohlgesonnen sind.
Eine solche Treffsicherheit sei selten, sagt der Informatiker Alexander De Luca von der Universität München. Er beschäftigt sich mit der Authentifizierung an öffentlichen Plätzen – zum Beispiel an Geldautomaten. Seine zentrale Erkenntnis: die menschliche Toleranz für Sicherheitsmaßnahmen ist sehr gering. Viele verdecken nicht einmal ihre PIN beim Geldabheben.
Fingerabdruck und Iris-Scan mögen die Nutzer nicht
Derzeit erforscht De Luca, ob es möglich ist, einen biometrischen Faktor in die PIN-Abfrage einzubeziehen, beispielsweise die Geschwindigkeit der Eingabe. Selbst wenn ein Hacker also das richtige Muster kennen sollte, könnte er mit diesem allein das Telefon nicht entsperren. Während viele Probanden den biometrischen Faktor überhaupt nicht bemerkten, da sie nie abgewiesen wurden, seien die Übrigen im Falle eines Fehlversuchs recht geduldig gewesen, berichtet De Luca. Lediglich in der Straßenbahn habe das System Schwächen gezeigt: Das Gerüttel veränderte die Eingabegeschwindigkeit so sehr, dass der Nutzer nicht akzeptiert wurde.
Dennoch hat sich De Luca der Biometrie bewusst nur am Rande bedient. Denn wenn auch die Identifizierung über Fingerabdrücke oder die Augeniris als relativ sicher gilt, sind Menschen ihr gegenüber skeptisch. „Diese Daten gelten als sehr persönlich“, sagt De Luca, „man will sie nicht der Bank überlassen.“ Zudem können auch Fingerabdrücke kopiert werden und viele Gesichtsscanner fallen auf Fotos herein.
Noch ist offen, ob und wann die universitären Entwicklungen aus Stuttgart und München auf den Markt kommen. Ihre Entwickler sind aber optimistisch. „Das Log-in per Displaymuster wird seit fünf Jahren verwendet“, vergleicht De Luca, „die erste wissenschaftliche Arbeit dazu ist von 1999.“ Fünf bis zehn Jahre könnten also schon ins Land gehen.
„Gegen den Ex-Freundinnen-Faktor ist das System nicht sicher“
Ein Projekt mit ähnlichen Ansätzen ist bereits verfügbar: Die Software Psylock, die an der Universität Regensburg entwickelt wurde, erkennt den Nutzer daran, wie er einen Satz am Computer abtippt. Aber was ist, wenn sich jemand den Finger verstaucht oder die Hand gebrochen hat? „Man braucht ein Hintertürchen, beispielsweise eine PUK“, sagt De Luca, also ein Passwort, mit dem sich ein Handy nach drei fehlgeschlagenen Log-in-Versuchen wieder entsperren lässt. Die PUK ist allerdings nur so gut wie ihr Versteck. „Gegen den Ex-Freundinnen-Faktor ist das System nicht sicher“, räumt De Luca ein. Die Ex-Freundin steht hier für Personen, die Geheimnisse eines Nutzers kennen und diesem eventuell nicht wohlgesonnen sind.
Konservativer kommt hingegen eine Software des Fraunhofer-Instituts für Sichere Informationstechnologie daher: Der iMobile-Sitter sichert Passwörter und PINs auf dem iPhone unter einem Master-Passwort. Der Clou: wer ein falsches Master-Passwort eingibt, bekommt ebenfalls echt aussehende Zugangsdaten ausgespuckt. Der Dieb bemerkt erst am Bankautomaten, dass er eine falsche PIN hat. „Wir lassen den Hacker ins Leere laufen“, sagt der stellvertretende Institutsleiter Markus Schneider. Aber auch hier gilt: das System ist nur so sicher wie das Master-Passwort. Schneider empfiehlt: „Dieses sollte auch von den engsten Freunden nicht erraten werden können.“
Tipps für sichere Passwörter
Vorsicht
: Passwörter wie der eigene Vornamen, der des Partners oder des Haustieres sind verbreitet. Genau davon raten Experten ab. Ebenso wenig geeignet und trotzdem beliebt ist das eigene Geburtsdatum als PIN oder die Ziffernfolge 1234. Oben auf der Hitliste sind darüber hinaus Passwörter wie „Schatz“, „Baby“, „Hallo“ oder schlicht „Passwort“.
So geht’s
: Sichere Passwörter bestehen idealerweise aus einer Kombination von großen und kleinen Buchstaben sowie Sonderzeichen. Ein Trick fürs leichtere Merken: Anfangsbuchstaben eines Satzes oder Buches verwenden.